Katalog CVE

CVE-2026-12183

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.55%

Percentyl 41 — wyżej niż 41% wszystkich znanych CVE

Streszczenie

System automatyzacji stacji benzynowej Nefteprodukttekhnika BUK TS-G w wersjach 2.9.1 do 2.10.2 na systemie Linux zawiera podatność na niewłaściwą autoryzację w module konfiguracji systemu. Punkt końcowy /php/ajax-login.php zwraca userid=1 (administrator) w odpowiedzi na dowolne żądanie HTTP POST z arbitralnymi poświadczeniami.

Ocena ryzyka

Zdalny, nieautoryzowany atakujący może wykonać dowolną akcję administracyjną dostępną w module konfiguracji, co prowadzi do poważnych zagrożeń dla bezpieczeństwa, w tym modyfikacji danych użytkowników i zarządzania urządzeniami stacji benzynowej.

Rekomendacja

Zaleca się aktualizację systemu do najnowszej wersji, która naprawia tę podatność oraz wdrożenie mechanizmów weryfikacji sesji serwerowej dla wszystkich punktów końcowych administracyjnych.

Oryginalny opis (angielski, źródło NVD)

Nefteprodukttekhnika BUK TS-G Gas Station Automation System 2.9.1 through 2.10.2 on Linux contains an Improper Authentication vulnerability (CWE-287) in the system configuration module. The /php/ajax-login.php endpoint returns userid=1 (administrator) in response to any HTTP POST request that supplies arbitrary credentials (e.g., action=dologin&login=<any_value>&pwd=<any_value>), and subsequent privileged endpoints under /php/ajax-main.php and /modules/* do not validate a server-side session. A remote unauthenticated attacker can invoke any administrative action exposed by the configuration module, including reading and modifying user rules, fuel tank gauges, fuel dispensers, relays, cash registers, bank terminals, fuel cards, price and customer displays, cash collection, and pricing rules.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS